FAQ - Perguntas Frequentes

Provedores de Acesso

O que é um Provedor de Acesso no ContractFlow?

Um Provedor de Acesso é o mecanismo utilizado para autenticar usuários na plataforma.

Ele define como os usuários realizam login no ContractFlow, podendo utilizar autenticação local da plataforma ou integrações com provedores de identidade externos compatíveis com os protocolos suportados pelo sistema.

A utilização de Provedores de Acesso permite centralizar a gestão de identidades, fortalecer a segurança e simplificar o gerenciamento de acessos da organização.

Para que serve um Provedor de Acesso?

O Provedor de Acesso é responsável por validar a identidade dos usuários durante o processo de autenticação.

Além de controlar como o login é realizado, ele também permite integrar o ContractFlow a soluções corporativas de gerenciamento de identidade, possibilitando que os usuários utilizem as mesmas credenciais adotadas pela organização.

Essa abordagem reduz a necessidade de múltiplas senhas, facilita a administração dos acessos e fortalece a governança de identidade.

Quais tipos de Provedores de Acesso podem ser utilizados?

O ContractFlow suporta diferentes estratégias de autenticação, permitindo a utilização de múltiplos provedores simultaneamente.

Entre os tipos disponíveis estão:

  • Autenticação Local do ContractFlow;

  • Integrações SAML (Security Assertion Markup Language).

A disponibilidade dos tipos de autenticação pode variar conforme as configurações de provedores da tenant.

Como cadastrar um novo Provedor de Acesso?

O cadastro de um Provedor de Acesso requer permissões administrativas específicas.

Para realizar o cadastro:

  1. Acesse Gestão de Acesso > Provedores de Acesso;

  2. Clique em Novo Provedor;

  3. Selecione o tipo de provedor desejado;

  4. Informe os parâmetros exigidos para o tipo selecionado;

  5. Salve a configuração.

Após a criação, o provedor poderá ser habilitado e configurado conforme as regras de autenticação adotadas pela organização.

⚠️ Atenção: Recomenda-se configurar a ordem de preferência dos provedores e as regras de correspondência de e-mail (regex) antes de disponibilizar o provedor aos usuários.

É possível editar um Provedor de Acesso?

Sim. As configurações de um Provedor de Acesso podem ser alteradas a qualquer momento por usuários que possuam as permissões adequadas.

Dependendo do tipo de provedor, podem ser ajustadas informações como URLs de autenticação, certificados, regras de correspondência de e-mail (regex), mapeamento de grupos, configurações de MFA e demais parâmetros relacionados à autenticação.

No entanto, o tipo do Provedor de Acesso não pode ser alterado após sua criação. Por exemplo, um provedor criado como Local não poderá ser convertido para SAML, e um provedor SAML não poderá ser convertido para Local.

Caso seja necessário utilizar outro tipo de autenticação, recomenda-se criar um novo Provedor de Acesso com a configuração desejada e realizar a migração dos usuários conforme necessário.

⚠️ Atenção: Alterações em Provedores de Acesso podem impactar diretamente a autenticação dos usuários. Recomenda-se validar as mudanças em ambiente de homologação sempre que possível antes de aplicá-las em produção.

Posso alterar o tipo de um Provedor de Acesso?

Não. Após a criação do Provedor de Acesso, seu tipo é permanente e não pode ser alterado.

Caso seja necessário utilizar outro mecanismo de autenticação, será preciso criar um novo Provedor de Acesso com o tipo desejado e configurar os usuários para utilizá-lo.

Essa restrição preserva a integridade das configurações de autenticação e evita impactos inesperados nos usuários vinculados ao provedor.

Posso definir mais de um Provedor de Acesso ativo?

Sim. O ContractFlow permite que múltiplos Provedores de Acesso permaneçam ativos simultaneamente.

Quando isso ocorre, a plataforma utiliza a ordem de preferência configurada e as regras de correspondência de e-mail para determinar qual provedor será utilizado por cada usuário durante a autenticação.

Esse modelo é especialmente útil em cenários como:

  • Ambientes híbridos (Local + SAML);

  • Empresas com múltiplos domínios de e-mail;

  • Processos de migração gradual entre provedores de identidade.

Posso utilizar autenticação local e SAML simultaneamente?

Sim. O ContractFlow permite a utilização simultânea de autenticação local e autenticação SAML.

Nesse cenário, cada usuário será direcionado ao provedor correspondente conforme as regras configuradas para os provedores ativos.

Essa abordagem é frequentemente utilizada para:

  • Manter contas administrativas locais;

  • Disponibilizar acesso corporativo via SAML;

  • Realizar migrações graduais entre métodos de autenticação;

  • Atender usuários internos e externos com mecanismos distintos de autenticação.

⚠️ Atenção: Cada usuário será autenticado por apenas um Provedor de Acesso, conforme as regras de correspondência configuradas para seu endereço de e-mail.O que é um Provedor de Acesso?

Posso manter apenas um Provedor com integração SAML?

Não. O ContractFlow exige que ao menos um Provedor Local permaneça ativo na tenant como mecanismo de contingência administrativa.

Dessa forma, caso ocorra indisponibilidade no provedor corporativo, erro de configuração ou falha de comunicação com o serviço de identidade, ainda será possível acessar a plataforma utilizando uma conta administrativa local.

Essa abordagem reduz o risco de bloqueio total de acesso à tenant e permite a realização de correções em configurações de autenticação quando necessário.

⚠️ Atenção: Antes de alterar configurações de autenticação, confirme que existe ao menos um usuário administrativo com acesso validado por meio do Provedor Local.

Existe um Provedor de Acesso padrão?

Não. Quando existem múltiplos provedores ativos, a seleção do provedor é realizada com base na ordem de preferência e nas regras de correspondência de e-mail configuradas para cada Provedor de Acesso.

Dessa forma, o provedor utilizado dependerá das regras definidas pela organização.

O que é a preferência de Provedor?

A preferência de Provedor define a ordem em que os Provedores de Acesso serão avaliados durante o processo de autenticação.

Quando um usuário informa seu endereço de e-mail na tela de login, o ContractFlow verifica os provedores ativos seguindo a ordem configurada.

O primeiro provedor cuja regra de correspondência atender ao e-mail informado será utilizado para autenticação.

Essa configuração é especialmente importante quando existem múltiplos provedores ativos na tenant.

O que é a configuração de regex de e-mail na preferência de Provedor?

A configuração de regex de e-mail define quais endereços de e-mail serão atendidos por cada Provedor de Acesso.

Por meio dessa regra é possível direcionar automaticamente diferentes grupos de usuários para provedores distintos.

Por exemplo:

  • Usuários com e-mail @empresa.com.br podem ser direcionados para autenticação SAML;

  • Usuários com qualquer outro domínio podem utilizar autenticação Local.

Essa segmentação permite maior flexibilidade na gestão de identidades e acessos.

⚠️ Atenção: Configurações incorretas de regex podem impedir que usuários sejam direcionados ao provedor adequado.

Como validar se uma regra de regex está funcionando corretamente?

A forma mais segura de validar uma regra de regex é testá-la com endereços de e-mail representativos antes de disponibilizar a configuração para todos os usuários.

Recomenda-se utilizar ferramentas de validação de expressões regulares (regex) para verificar se os padrões configurados estão correspondendo exatamente aos endereços de e-mail esperados.

Durante a validação, confirme que:

  • Os e-mails que devem utilizar o Provedor de Acesso atendem à regra configurada;

  • Os e-mails que não devem utilizar o Provedor não são correspondidos pela expressão;

  • Não existem sobreposições entre regras de diferentes Provedores de Acesso ativos;

  • A ordem de preferência dos provedores está configurada corretamente.

⚠️ Atenção: Regras de regex incorretas podem direcionar usuários para provedores inadequados, impedir autenticações ou gerar comportamentos inesperados quando múltiplos provedores estiverem ativos simultaneamente.

O que acontece se mais de um Provedor atender ao mesmo e-mail?

Quando mais de um Provedor de Acesso possui regras que atendem ao mesmo endereço de e-mail, o ContractFlow utilizará a ordem de preferência configurada para determinar qual provedor será aplicado.

Nesse cenário, o primeiro provedor ativo que atender aos critérios definidos será utilizado para autenticação do usuário.

⚠️ Atenção: Recomenda-se configurar regras de correspondência (regex) que evitem sobreposição entre provedores, reduzindo ambiguidades e facilitando a governança do acesso.

Como testar uma configuração SAML antes de disponibilizá-la aos usuários?

Recomenda-se realizar todos os testes inicialmente em ambiente de homologação.

Quando isso não for possível, uma boa prática é configurar temporariamente um regex específico para permitir autenticação apenas de usuários de teste previamente definidos.

Antes da disponibilização para todos os usuários, valide:

  • Metadados do provedor;

  • URLs de autenticação e logout;

  • Certificados configurados;

  • Mapeamento de atributos;

  • Sincronização de grupos e perfis;

  • Criação automática de usuários e pessoas.

⚠️ Atenção: Uma configuração incorreta de SAML pode impedir o acesso dos usuários à plataforma. Sempre mantenha uma estratégia de contingência validada antes da publicação das alterações.

O que significa Habilitar Single Logout para Provedor SAML?

A configuração Habilitar Single Logout (SLO) permite que o encerramento da sessão seja sincronizado entre o ContractFlow e o Provedor de Identidade (IdP) utilizado na autenticação SAML.

Quando essa funcionalidade está habilitada, ao realizar logout no ContractFlow, o usuário também poderá ter sua sessão encerrada no provedor de identidade corporativo. Da mesma forma, dependendo da configuração do provedor, o encerramento da sessão no IdP poderá refletir no acesso à plataforma.

Essa funcionalidade aumenta a segurança ao reduzir o risco de sessões permanecerem ativas após o logout.

⚠️ Atenção: O funcionamento do Single Logout depende do suporte e da configuração adequada tanto no ContractFlow quanto no Provedor de Identidade. Caso o IdP não suporte SLO ou esteja configurado incorretamente, o logout sincronizado poderá não ocorrer.

O que significa Habilitar mapeamento de grupos para Provedor SAML?

A configuração Habilitar mapeamento de grupos permite que o ContractFlow utilize as informações de grupos enviadas pelo Provedor de Identidade durante a autenticação SAML para atribuir automaticamente Perfis de acesso aos usuários.

Quando habilitada, a plataforma analisa os grupos recebidos do provedor e aplica os Perfis previamente configurados no mapeamento do Provedor de Acesso.

Por exemplo:

  • Usuários pertencentes ao grupo "Administradores" podem receber automaticamente um Perfil administrativo;

  • Usuários pertencentes ao grupo "Fornecedores" podem receber automaticamente um Perfil de Supervisor Externo;

  • Usuários pertencentes ao grupo "Gestores" podem receber automaticamente um Perfil gerencial.

Essa funcionalidade reduz atividades manuais de administração de acesso e facilita a integração com a governança de identidades da organização.

⚠️ Atenção: Para que o mapeamento funcione corretamente, o Provedor de Identidade deve estar configurado para enviar as informações de grupos durante a autenticação e os grupos devem estar devidamente associados aos Perfis desejados no ContractFlow.

O que significa MFA Obrigatório?

MFA (Multi-Factor Authentication) Obrigatório é uma configuração que exige que todos os usuários autenticados por aquele Provedor de Acesso realizem uma segunda etapa de validação durante o processo de login.

Quando habilitado, além de informar suas credenciais de acesso, o usuário deverá confirmar sua identidade utilizando um método adicional de autenticação compatível com a plataforma.

Essa camada adicional de segurança reduz significativamente os riscos relacionados a:

  • Vazamento de credenciais;

  • Reutilização de senhas comprometidas;

  • Ataques de força bruta;

  • Acessos não autorizados.

⚠️ Atenção: Após a ativação do MFA Obrigatório, os usuários deverão concluir a configuração do seu método de autenticação multifator antes de conseguirem acessar normalmente a plataforma.

Quais aplicativos de MFA são compatíveis com o ContractFlow?

São suportados aplicativos compatíveis com o padrão TOTP (Time-Based One-Time Password), que geram códigos temporários de autenticação baseados em tempo.

Entre os aplicativos compatíveis estão:

  • Google Authenticator

  • Microsoft Authenticator

  • Authy

  • 1Password

  • Bitwarden

  • Outros aplicativos compatíveis com o padrão TOTP.

O que acontece quando um usuário acessa o ContractFlow utilizando SAML?

Quando um usuário realiza autenticação por meio de um Provedor de Acesso SAML, o ContractFlow redireciona a solicitação para o Provedor de Identidade (IdP) configurado pela organização.

Após a autenticação bem-sucedida, o Provedor de Identidade envia as informações do usuário para o ContractFlow, que valida os dados recebidos e concede acesso conforme as permissões atribuídas.

Dependendo das configurações da tenant e do Provedor de Acesso, o processo também poderá realizar ações adicionais, como criação automática de Usuários, vinculação de Pessoas e atribuição automática de Perfis por meio de mapeamento de grupos.

Essa abordagem permite centralizar a autenticação em sistemas corporativos, reduzindo a necessidade de gerenciamento de credenciais independentes.

Como funciona o primeiro acesso de um usuário autenticado por SAML?

No primeiro acesso, o usuário é redirecionado para o provedor de identidade corporativo configurado pela organização.

Após a autenticação bem-sucedida, o ContractFlow valida as informações recebidas e realiza as ações configuradas para o provedor, que podem incluir:

  • Criação automática do Usuário;

  • Criação ou vinculação automática da Pessoa;

  • Associação automática de Perfis de acesso;

  • Sincronização de grupos, quando configurada.

Após a conclusão desse processo, o usuário poderá acessar a plataforma conforme as permissões atribuídas.

⚠️ Atenção: O comportamento do primeiro acesso dependerá das configurações definidas para a tenant, para o Provedor de Acesso e das informações enviadas pelo provedor de identidade.

A autenticação SAML cria usuários automaticamente?

Sim. Quando um usuário realiza autenticação com sucesso por meio de um Provedor de Acesso SAML e ainda não possui cadastro na plataforma, o ContractFlow pode realizar sua criação automática.

Dependendo das configurações da tenant e do provedor configurado, o processo também poderá:

  • Criar automaticamente a Pessoa associada ao Usuário;

  • Vincular o Usuário a uma Pessoa existente, quando aplicável;

  • Associar Perfis de acesso com base no mapeamento de grupos enviado pelo provedor de identidade.

Essa funcionalidade reduz atividades administrativas e facilita a integração com ambientes corporativos.

⚠️ Atenção: O comportamento de sincronização dependerá das configurações definidas na tenant e das informações disponibilizadas pelo provedor de identidade externo.

Um usuário pode utilizar mais de um Provedor de Acesso?

Não. Cada Usuário é vinculado a apenas um Provedor de Acesso, que será utilizado durante seu processo de autenticação.

Quando existem múltiplos provedores ativos na tenant, a identificação do provedor é realizada com base nas regras de preferência e nos critérios de correspondência configurados para cada provedor, como o regex de e-mail.

Após identificado o provedor correspondente, o usuário será autenticado exclusivamente por ele.

Como identificar qual Provedor de Acesso um usuário utiliza?

Usuários com as permissões adequadas podem consultar essas informações por meio da Gestão de Acesso > Usuários.

Ao acessar os detalhes do usuário, será possível visualizar informações relacionadas à autenticação, incluindo:

  • Provedor de Acesso associado;

  • Status do usuário;

  • Data do último acesso;

  • Indicação de primeiro acesso realizado;

  • Outras informações de auditoria disponíveis na plataforma.

Essas informações auxiliam atividades de suporte, governança e troubleshooting de autenticação.

Posso alterar o Provedor de Acesso de um usuário já existente?

Não. O Provedor de Acesso associado a um Usuário não pode ser alterado após sua criação.

Caso seja necessário utilizar outro Provedor de Acesso, será preciso criar um novo Usuário vinculado ao provedor desejado e, posteriormente, associá-lo à mesma Pessoa já existente no ContractFlow.

Essa abordagem preserva a rastreabilidade das autenticações realizadas e mantém a integridade das informações relacionadas ao acesso do usuário na plataforma.

⚠️ Atenção: Antes de remover ou inativar o usuário anterior, confirme que o novo usuário foi criado corretamente, possui as permissões necessárias e está vinculado à Pessoa adequada.

Posso mover vários usuários de um Provedor de Acesso para outro?

Não de forma automática.

Como o Provedor de Acesso não pode ser alterado após a criação do Usuário, a migração entre provedores exige a criação de novos usuários para cada pessoa que será autenticada pelo novo provedor.

O processo recomendado consiste em:

  • Criar os novos usuários utilizando o novo Provedor de Acesso;

  • Vincular cada novo usuário à respectiva Pessoa já existente no ContractFlow;

  • Validar as permissões e acessos necessários;

  • Inativar os usuários antigos, quando apropriado.

Esse procedimento garante a continuidade do acesso sem perda do histórico das entidades, responsabilidades e relacionamentos associados às Pessoas na plataforma.

⚠️ Atenção: Em processos de migração em massa, recomenda-se realizar testes prévios com um grupo reduzido de usuários antes de executar a transição completa.

O que acontece se um usuário for removido do provedor de identidade corporativo?

Quando um usuário é removido ou perde autorização no Provedor de Identidade corporativo, ele deixa de conseguir autenticar-se por meio daquele Provedor de Acesso.

Os registros do usuário permanecem preservados no ContractFlow para fins de auditoria, rastreabilidade e histórico operacional.

Caso o usuário necessite continuar acessando a plataforma, será necessário restabelecer sua autorização no Provedor de Identidade ou criar um novo Usuário utilizando outro Provedor de Acesso compatível.

⚠️ Atenção: A remoção do usuário no Provedor de Identidade não remove automaticamente seus registros, responsabilidades ou relacionamentos existentes no ContractFlow.

O que acontece se um Provedor de Acesso SAML deixar de funcionar?

Caso um Provedor de Acesso externo apresente indisponibilidade ou falha de comunicação, os usuários vinculados a ele poderão ficar temporariamente impossibilitados de acessar a plataforma.

A indisponibilidade pode ocorrer por diversos motivos, incluindo:

  • Falha no Provedor de Identidade externo;

  • Certificados expirados ou inválidos;

  • Problemas de conectividade;

  • Configurações incorretas;

  • Alterações realizadas no ambiente de autenticação corporativo.

Por esse motivo, recomenda-se manter um Provedor Local ativo para contingência administrativa e validar periodicamente as configurações dos provedores utilizados.

⚠️ Atenção: Usuários autenticados por outros Provedores de Acesso não serão impactados por falhas em um provedor diferente.

O que acontece se eu inativar um Provedor de Acesso que possui usuários vinculados?

Ao inativar um Provedor de Acesso, os usuários vinculados a ele deixam de conseguir realizar novas autenticações utilizando esse método.

Os registros dos usuários permanecem preservados na plataforma, porém o acesso ficará indisponível até que o Provedor seja reativado ou que novos usuários sejam criados utilizando outro Provedor de Acesso.

⚠️ Atenção: Antes de inativar um Provedor de Acesso, recomenda-se avaliar quais usuários dependem dele para evitar interrupções não planejadas.

É possível inativar um Provedor de Acesso?

Sim. Um Provedor de Acesso pode ser inativado a qualquer momento por usuários com as permissões adequadas.

A inativação impede que o provedor seja utilizado em novas autenticações, preservando suas configurações para eventual utilização futura.

Essa abordagem é recomendada quando se deseja interromper temporariamente o uso de um provedor sem perder suas configurações.

⚠️ Atenção: Antes de inativar um Provedor de Acesso, verifique se existem usuários que dependem exclusivamente dele para acessar a plataforma.

Posso reativar um Provedor de Acesso inativo?

Sim. Um Provedor de Acesso inativo pode ser reativado a qualquer momento, desde que o usuário possua as permissões adequadas.

Após a reativação, os usuários vinculados ao provedor voltarão a poder utilizá-lo normalmente durante o processo de autenticação.

Recomenda-se validar as configurações do provedor antes da reativação para garantir que todos os parâmetros permanecem corretos e atualizados.

Posso excluir um Provedor de Acesso?

Sim, desde que ele esteja inativo e não possua Usuários vinculados.

Antes da exclusão, é necessário inativar o Provedor de Acesso e garantir que não existam usuários associados a ele.

Essa restrição existe para preservar a integridade das informações de autenticação e evitar inconsistências relacionadas aos acessos registrados na plataforma.

Quando não houver necessidade de remoção definitiva, recomenda-se apenas inativar o provedor, preservando suas configurações para consultas futuras e eventual reativação.

⚠️ Atenção: Como o Provedor de Acesso de um Usuário não pode ser alterado após sua criação, usuários vinculados ao provedor deverão ser removidos antes que a exclusão seja realizada.

Como identificar problemas de autenticação em um Provedor de Acesso?

Problemas de autenticação normalmente podem ser identificados por meio das mensagens apresentadas durante o login e pela análise das configurações do Provedor de Acesso.

As causas mais comuns incluem:

  • Configuração incorreta de URLs ou metadados SAML;

  • Certificados expirados ou inválidos;

  • Regras de regex que não correspondem ao e-mail do usuário;

  • Usuário inexistente ou sem autorização no provedor de identidade;

  • Provedor de Acesso inativo;

  • Falhas de comunicação entre o ContractFlow e o provedor externo;

  • Mapeamento incorreto de atributos obrigatórios.

Ao investigar um problema, recomenda-se validar inicialmente qual Provedor de Acesso foi redirecionado para o usuário e confirmar se as configurações do provedor permanecem válidas.

⚠️ Atenção: Sempre que possível, realize testes em ambiente de homologação antes de aplicar alterações em provedores utilizados por usuários em produção.

Quais cuidados devem ser tomados ao alterar um Provedor de Acesso?

Antes de realizar alterações em um Provedor de Acesso, recomenda-se avaliar cuidadosamente os impactos sobre os usuários que dependem dele para autenticação.

Boas práticas incluem:

  • Validar as alterações em ambiente de homologação;

  • Confirmar URLs, metadados e certificados utilizados;

  • Revisar regras de correspondência de e-mail (regex);

  • Verificar configurações de MFA e Single Logout;

  • Validar mapeamentos de grupos e Perfis;

  • Garantir a existência de um Provedor Local para contingência administrativa;

  • Confirmar que existe ao menos um usuário administrativo com acesso funcional.

Essas medidas ajudam a reduzir riscos de indisponibilidade e facilitam a recuperação em caso de falhas de configuração.

⚠️ Atenção: Alterações incorretas podem impedir a autenticação de usuários e comprometer temporariamente o acesso à plataforma

O que acontece se nenhum Provedor de Acesso atender ao e-mail informado?

Se nenhum Provedor de Acesso ativo possuir uma regra de correspondência compatível com o endereço de e-mail informado, o usuário não conseguirá prosseguir com a autenticação.

Nessa situação, recomenda-se verificar:

  • Se o Provedor está ativo;

  • Se a regra de regex contempla o domínio do usuário;

  • Se a ordem de preferência dos provedores está configurada corretamente.

⚠️ Atenção: Alterações incorretas nas regras de regex podem impedir que usuários legítimos sejam direcionados para qualquer Provedor de Acesso.

Posso utilizar o mesmo domínio de e-mail em mais de um Provedor?

Sim. No entanto, quando múltiplos Provedores de Acesso possuem regras capazes de atender ao mesmo endereço de e-mail, o ContractFlow utilizará o primeiro provedor correspondente de acordo com a ordem de preferência configurada.

Por esse motivo, recomenda-se evitar sobreposição de regras sempre que possível, tornando o comportamento de autenticação mais previsível e fácil de administrar.

Como funciona o login quando existem múltiplos Provedores ativos?

Quando existem múltiplos Provedores de Acesso ativos, o usuário informa inicialmente seu endereço de e-mail na tela de autenticação.

O ContractFlow então avalia os provedores ativos na ordem de preferência configurada e verifica qual regra de correspondência atende ao e-mail informado.

Após identificar o provedor correspondente, o usuário é direcionado automaticamente para o método de autenticação adequado.

Esse processo ocorre de forma transparente e não exige que o usuário selecione manualmente o Provedor de Acesso que será utilizado.

Previous
Gerenciador de Tarefas
Next
Usuários

© 2026 ContractLabs. Todos os direitos reservados.

ContractFlow Docs